Når det skal behandles personopplysninger i forskningsprosjekter, må den behandlingsansvarlige forskningsinstitusjonen vurdere om forordningens krav til behandling av særskilte kategorier av personopplysninger er oppfylt.
Her er en kort gjennomgang av hvilke vurderinger de behandlingsansvarlige må gjøre før de starter behandlingen.
For medisinsk og helsefaglig forskning har forhåndsgodkjenning fra de regionale etiske komiteene for medisinsk og helsefaglig forskningsetikk (REK) tidligere vært et tilstrekkelig og nødvendig behandlingsgrunnlag for behandling av personopplysninger i forskningsprosjekter. Dette gjelder ikke lenger. Det betyr at REK ikke skal vurdere om forskningsprosjektets behandling av personopplysninger oppfyller kravene i personvernregelverket.
REK skal fremdeles gjøre etiske vurderinger og gi dispensasjon fra taushetsplikt for forskning som faller inn under helseforskningslovens virkeområde. Disse vurderingene omfatter i noen tilfeller også vurderinger av personvernet til de som inngår i utvalget.
Den behandlingsansvarlige har plikt til å påse og dokumentere at behandlingen av personopplysninger skjer i samsvar med forordningen. Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. Dette kan for eksempel være en forskningsinstitusjon eller et helseforetak.
Vi anbefaler at den behandlingsansvarlige utarbeider rutiner for å vurdere behandlingen av personopplysninger i forbindelse med forskning. I rutinen bør det stå tydelig hvem som er ansvarlig for å gjøre vurderingene. Ansvaret kan for eksempel være plassert hos den som er prosjektleder for det enkelte forskningsprosjekt eller den som er fagansvarlig for forskningen generelt.
Ved utlevering av personopplysninger fra et helseregister til forskning, må den behandlingsansvarlige selv vurdere om utleveringen er i tråd med registerets formål. Den behandlingsansvarlige må også vurdere om utleveringen er lovlig etter personvernregelverket. Ved sammenstilling av personopplysninger fra flere registre, må hver behandlingsansvarlig gjøre disse vurderingene.
Når flere parter samarbeider om et forskningsprosjekt eller helseregister, må partene avklare hvem som er behandlingsansvarlig og hvem som er databehandler. Det kan også være felles behandlingsansvar. Når en av partene er databehandler, må det inngås en databehandleravtale. Ved felles behandlingsansvar, må partene inngå en avtale som klart fordeler ansvaret mellom dem. Les mer om databehandler og databehandleravtale
Mange av pliktene en behandlingsansvarlig har må gjennomføres på organisasjonsnivå og ikke i det enkelte forskningsprosjekt eller helseregister. Vi gjennomgår ikke alle pliktene som finnes i personvernregelverket her, men henviser til den generelle samlesiden vår om pliktene en virksomhet har.
I personvernforordningen er det et sett med grunnleggende prinsipper som gjelder for all behandling av personopplysninger. Prinsippene ivaretas gjennom forordningens øvrige artikler, men den behandlingsansvarlige har også selvstendig plikt til å sørge for at den oppfyller prinsippene.
Når det behandles personopplysninger i forskningsprosjekter og helseregistre, er det spesielt viktig å beskrive hva som er formålet med behandlingen. Det er fordi formålet setter rammer for de andre vurderingene som må gjøres. Formålet vil for eksempel gi grunnlag for å vurdere hvilke personopplysninger som er adekvate, relevante og nødvendige (prinsippet om dataminimering) og hvor lenge personopplysningene kan behandles (prinsippet om lagringsbegrensning).
Kravene om innebygd personvern og personvern som standardinnstilling gjelder for all behandling av personopplysninger. For å oppfylle kravene må den behandlingsansvarlige iverksette organisatoriske og tekniske tiltak for å gjennomføre kravene til behandling av personopplysninger.
Det enkelte forskningsprosjekt eller helseregister må vurdere om den aktuelle behandlingen av personopplysninger oppfyller kravene til innebygd personvern.
Den behandlingsansvarlige skal fastsette sikkerhetsnivå for behandling av personopplysninger i registre og forskningsprosjekter, jf. personvernforordningen artikkel 32. Utgangspunktet er at denne vurderingen skal være gjort på virksomhetsnivå. Det skal derfor ikke skal være nødvendig å vurdere sikkerhetsnivået i det enkelte forskningsprosjekt eller helseregister.
Det kan likevel være unntak dersom behandlingen medfører risiko for fysiske personers rettigheter og friheter, og denne risikoen har høyere sannsynlighets- og alvorlighetsgrad enn det som er lagt til grunn i den generelle vurderingen. I slike tilfeller kan det være nødvendig med ekstra sikkerhetstiltak.